Achtung, Disqus, den Dienst den auch wir für die Kommentare unter unseren Beiträgen nutzen, wurde gehackt. Dies wurde nun offiziell in Ihrem Blog bestätigt.
Am 06.10.2017 veröffentlichte Disqus einen Blogbeitrag, der die User über das Datenleck informiert. So wie es aussieht, soll ein Snapshot von der Datenbank aus dem Jahr 2012 entwendet worden sein. Diese soll Daten bis zurück ins Jahr 2007 enthalten. Zu den entwendeten Daten gehören E-Mailadressen, Disqus Benutzernamen, letztes Login, das Datum an dem Ihr euch registriert habt und auch das Passwort, welches aber mit dem SHA1 Algorithmus verschlüsselt ist.
Welches Risiko besteht für die User von Disqus?
Es sieht zur Zeit so aus, als wären keine unautorisierten Zugriffe auf die Accounts zu verzeichnen. Da die Passwörter, zum Glück, verschlüsselt in der Datenbank vorgelegen haben, ist es eher unwahrscheinlich, dass diese auch entschlüsselt worden sind. Trotzdem wurden alle Passwörter der betroffenen Benutzer prophylaktisch zurückgesetzt. Da die E-Mailadressen im Klartext gespeichert worden sind, kann es nun passieren, dass Ihr vermehrt Spam auf diesen Adresse erhaltet. Ich persönlich benutze für jeden Dienst eine andere E-Mailadresse und auch ein anderes Passwort. Dabei hilft mir 1Password. Bei Gmail z.b. kann ein Alias mit einem + Zeichen erstellen werden. Zum Beispiel wäre ein neuer Alias [email protected], wobei [email protected] eure Gmailadresse ist. Diese Funktion finde ich äußerst nützlich, insbesondere da es heutzutage so viele verschiedene Dienste gibt, wo man angemeldet ist.
Was macht Disqus jetzt?
Als erstes setzen Sie alle Passwörter zurück. Solltet Ihr das Passwort auch noch für einen anderen Dienst verwendet, setzt am Besten dort eure Passwörter ebenfalls zurück. Sie haben auch die den Verschlüsselungsalgorithmus für die Passwörter ende 2012 von SHA1 auf bcrypt geändert. Das Team von Disqus ist weiterhin dran, den Fall zu untersuchen. Sollten Sie neue Erkenntnisse haben, werden Sie diese auf Ihrem Blog veröffentlichen. Auch nochmal die bitte von uns, schaut wo Ihr die Daten noch verwendet haben könntet und ändert dort eure Passwörter.